La ricerca sulla sicurezza online ha un risvolto che non tutti conoscono, ma che nutre la ricerca portando denaro nel sistema. Si tratta di un vero e proprio mercato “underground” dei bug, una sorta di commercio di segnalazioni e teorie che mette in contatto la domanda (aziende, agenzie governative) e l’offerta (ricercatori, hacker) sulla base di un punto di incontro che fissa il prezzo.
Ogni bug ha una sua pericolosità, un suo danno potenziale, un suo valore. E pertanto anche un prezzo. I parametri elencati, unitamente all’esposizione del sistema analizzato, determinano l’importanza ed il valore commerciale della scoperta, la quale può pertanto essere venduta in modo che qualcuno possa intervenire sul codice e riparare il problema prima che altri se ne accorgano e ne approfittino con danno ben maggiore. Il problema etico è evidente e si basa sull’equilibrio sottile tra segnalazione e minaccia, ricerca ed estorsione. Le modalità con cui il tutto viene portato a termine determinano la bontà o meno dell’azione.
Secondo quanto segnalato da Net Security vi sono bug che hanno raggiunto 1 milione di dollari di quotazione in virtù della loro posizione di rischio per una agenzia governativa, mentre il bug che ha scatenato il putiferio cinese sarebbe stato valutato attorno ai 40 mila dollari. Un bug non ha valore se non è zero-day, poiché diventa ridotto il campo di applicazione possibile e soprattutto diventa minimo l’impatto della scoperta su eventuali sistemi ancora vulnerabili.
Attorno a questo tipo di mercato vi sono approcci differenti. Da una parte, infatti, v’è la posizione oltranzista di Microsoft, gruppo che rifiuta di pagare per la scoperta di nuovi bug per evitare di finanziare di propria tasca un mercato che va a ritorcersi contro gli interessi stessi del gruppo. Al contrario vi sarebbero invece compratori quali VeriSign, TippingPoint o Google, disponibili a versare piccole cifre in cambio delle segnalazioni di bug nei propri prodotti. Tra raffinata scienza e mercato nero il confine è estremamente labile e le due parti interpretano con approccio differente il medesimo fenomeno evidenziando ancora una volta come l’interpretazione debba essere più etica che non tecnica.
Charlie Miller, ex-analista NSA ora in forze alla Independent Security Evaluators, spiega il proprio punto di vista con estremo pragmatismo: il denaro fa la differenza e le segnalazioni gratuite non permettono né di finanziare la ricerca (l’analisi di un sistema, le prove e le dimostrazioni possono richiedere lunghi mesi di lavoro), né di vivere di questo tipo di attività.